ΑρχικήSecurityCloudflare: Προειδοποιεί για συμμορία hacking που στοχεύει την Ασία

Cloudflare: Προειδοποιεί για συμμορία hacking που στοχεύει την Ασία

Μια hacking συμμορία έχει παρατηρηθεί στην Ινδία, η οποία χρησιμοποιεί παρόχους cloud για να διευκολύνει τη συλλογή διαπιστευτηρίων, την διανομή κακόβουλου λογισμικού και τις δραστηριότητες εντολής και ελέγχου (C2).

SloppyLemming

Η εταιρεία υποδομής διαδικτύου και ασφάλειας Cloudflare παρακολουθεί αυτή τη δραστηριότητα, γνωστή ως SloppyLemming, η οποία αναφέρεται επίσης ως Outrider Tiger και Fishing Elephant.

Δείτε σχετικά: Predator spyware – ΗΠΑ: Νέες κυρώσεις σε στελέχη της Intellexa

«Από τα τέλη του 2022, η SloppyLemming έχει χρησιμοποιήσει τακτικά τους Cloudflare Workers, πιθανώς ως μέρος μιας hacking spyware συμμορίας που στοχεύει χώρες της Νότιας και Ανατολικής Ασίας», δήλωσε η Cloudflare. Το SloppyLemming είναι ενεργό τουλάχιστον από τον Ιούλιο του 2021, με προηγούμενες εκστρατείες που χρησιμοποιούν κακόβουλο λογισμικό όπως το Ares RAT και το WarHawk, το οποίο συνδέεται με τη γνωστή hacking συμμορία SideWinder. Η χρήση του Ares RAT συνδέεται επίσης με το SideCopy, πιθανότατα πακιστανικής προέλευσης.

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 11 Οκτωβρίου 2024, 18:38 18:38

Οι στόχοι του SloppyLemming περιλαμβάνουν κυβερνητικές και νομικές οντότητες, καθώς και τομείς ενέργειας, εκπαίδευσης, τηλεπικοινωνιών και τεχνολογίας σε Πακιστάν, Σρι Λάνκα, Μπαγκλαντές, Κίνα, Νεπάλ και Ινδονησία.

Οι επιθέσεις περιλαμβάνουν email phishing που προσπαθούν να εξαπατήσουν τους παραλήπτες να κάνουν κλικ σε κακόβουλο σύνδεσμο, προκαλώντας αίσθηση επείγοντος για να ολοκληρώσουν μια υποχρεωτική διαδικασία εντός 24 ωρών. Κάνοντας κλικ στη διεύθυνση URL, το θύμα μεταφέρεται σε σελίδα συλλογής διαπιστευτηρίων, επιτρέποντας στην hacker συμμορία να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε στοχευμένους λογαριασμούς email εντός των οργανισμών.

Διαβάστε ακόμη: ΗΠΑ: Νομοσχέδιο για αντιμετώπιση απειλών από Κινέζους hackers

«Ο ηθοποιός χρησιμοποιεί ένα προσαρμοσμένο εργαλείο που ονομάζεται CloudPhish για να δημιουργήσει έναν κακόβουλο Cloudflare Worker, ο οποίος χειρίζεται τη λογική της καταγραφής διαπιστευτηρίων και τη διείσδυση των διαπιστευτηρίων των θυμάτων στον παράγοντα απειλών», δήλωσε η εταιρεία.

Ορισμένες επιθέσεις που έχουν πραγματοποιηθεί από το SloppyLemming αξιοποιούν παρόμοιες τεχνικές για την κλοπή διακριτικών του Google OAuth, περιλαμβάνοντας τη χρήση RAR αρχείων που είναι παγιδευμένα με εκρηκτικά (“CamScanner 06-10-2024 15.29.rar”). Αυτά τα αρχεία πιθανώς εκμεταλλεύονται ένα ελάττωμα του WinRAR (CVE-238831), που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα.

Μέσα στο αρχείο RAR περιέχεται ένα εκτελέσιμο αρχείο που, εκτός από την εμφάνιση του εγγράφου- δολώματος, φορτώνει κρυφά το “CRYPTSP.dll”. Αυτό το αρχείο λειτουργεί ως πρόγραμμα λήψης για την ανάκτηση ενός trojan απομακρυσμένης πρόσβασης που φιλοξενείται στο Dropbox.

Είναι σημαντικό να αναφέρουμε ότι η εταιρεία κυβερνοασφάλειας SEQRITE περιέγραψε μια παρόμοια hacking συμμορία που πραγματοποίησαν οι παράγοντες του SideCopy πέρυσι, στοχεύοντας την ινδική κυβέρνηση και τον αμυντικό τομέα. Αυτή η καμπάνια περιλάμβανε τη διανομή του Ares RAT μέσω ZIP αρχείων με ονόματα όπως “DocScanner_AUG_2023.zip” και “DocScanner-Oct.zip”, τα οποία προκάλεσαν την ίδια ευπάθεια.

Δείτε περισσότερα: Η ομάδα SloppyLemming στοχεύει την κυβέρνηση του Πακιστάν

Μια τρίτη μέθοδος μόλυνσης που χρησιμοποίησε ο SloppyLemming περιλάμβανε δόλωμα μέσω phishing, οδηγώντας υποψήφιους στόχους σε έναν ψεύτικο ιστότοπο που προσποιούνταν την Επιτροπή Πληροφοριών του Παντζάμπ (PITB) στο Πακιστάν. Οι χρήστες ανακατευθύνονταν στη συνέχεια σε άλλο ιστότοπο, ο οποίος περιείχε μια συντόμευση σε ένα αρχείο URL.

Το συγκεκριμένο URL ήταν ενσωματωμένο με κώδικα που πραγματοποιούσε τη λήψη ενός εκτελέσιμου αρχείου με την ονομασία PITB-JR5124.exe από τον ίδιο διακομιστή. Αυτό το δυαδικό αρχείο είναι ένα νόμιμο αρχείο που χρησιμοποιείται για την πλευρική φόρτωση (side-loading) ενός επικίνδυνου DLL, γνωστού ως profapi.dll, το οποίο έπειτα επικοινωνεί με έναν εργαζόμενο της Cloudflare.

Η εταιρεία σημείωσε ότι οι διευθύνσεις URL του Cloudflare Worker λειτουργούν ως μεσολαβητές, μεταφέροντας αιτήματα στον πραγματικό τομέα C2 που χρησιμοποιείται από τον αντίπαλο, ο οποίος είναι “aljazeerak[.]online”.

Η Cloudflare ανέφερε ότι «παρατήρησε συντονισμένες προσπάθειες του SloppyLemming να στοχεύσει τα πακιστανικά αστυνομικά τμήματα και άλλες οργανώσεις επιβολής του νόμου». Πρόσθεσε ότι «υπάρχουν ενδείξεις ότι η hacking συμμορία έχει στο στόχαστρο οντότητες που σχετίζονται με τη λειτουργία και συντήρηση της μοναδικής πυρηνικής εγκατάστασης του Πακιστάν».

Διαβάστε επίσης: Arkansas City: Κυβερνοεπίθεση σε εγκατάσταση επεξεργασίας νερού

Επιπλέον, ορισμένοι από τους άλλους στόχους της δραστηριότητας συλλογής διαπιστευτηρίων περιλαμβάνουν κυβερνητικούς και στρατιωτικούς οργανισμούς της Σρι Λάνκα και του Μπαγκλαντές, καθώς και, σε μικρότερο βαθμό, οντότητες από τον ενεργειακό και ακαδημαϊκό τομέα της Κίνας.

Πηγή: thehackernews

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS